Hva er PCI-samsvar? Finn beste PCI-kompatible webhotell

beste pci-kompatible webhotell


Betalingskortindustri – Data Security Standards (PCI-DSS) er et stort sett av krav som er vedtatt av PCI Security Standards Council, og det er ment å sikre konsistente datasikkerhetstiltak i alle online-forhandlere. De PCI Security Standards Council (PCI SSC) inkluderer JCB International, American Express, Discover Financial Services, VISA og MasterCard Worldwide. Enhver online selger som godtar betaling gjennom større kredittkortselskaper er bundet av PCI-DSS-kravene.

Å oppnå og opprettholde samsvar kan være en nervepirrende opplevelse selv for store online selskaper, enn mindre små kjøpmenn. Men de kostbare konsekvensene av brudd på data og manglende oppfyllelse av krav til overholdelse gjør det avgjørende for online tjenesteleverandører å sikre at kundene deres handler sikkert.

I denne artikkelen diskuterer vi noen av de viktigste kravene for PCI-samsvar og hvordan vi finner det beste PCI-kompatible webhotell for bedre å administrere PCI-samsvarsstrategien.

Hva betyr det å være PCI-kompatibel?

PCI-samsvar er et must for alle e-handelsbedrifter som aksepterer kredittkort, uavhengig av inntekter og omfang av transaksjoner. Derfor vil disse to faktorene ikke avgjøre om du må overholde datasikkerhetsreglene som er angitt av PCI SSC, gitt at selv den minste e-handelsvirksomhet som godtar kredittkort er bundet av PCI-DSS-standardene; Imidlertid vil antall kreditt- / debetkorttransaksjoner forretningsprosessene dine årlig avgjøre hvilket av de fire nivåene for samsvar du må oppnå. Nivå 1 har den høyeste overholdelsesvanskeligheten, og det er en sikkerhetsstandard som må oppnås av e-handelsbedrifter som behandler mer enn 6 000 000 kreditt- eller debetkort over en periode på 12 måneder. På den annen side har nivå 4 den laveste overholdelsesvanskeligheten, og det gjelder online virksomheter som behandler færre enn 20 000 kredittkorttransaksjoner årlig.

Mens PCI-DSS-standardene som er definert av PCI SSC ikke er noen lov, håndheves etterlevelsen av disse standardene av kredittforetakene selv. Virksomheter som viser seg å være i brudd, kan forvente betydelige bøter ($ 5000 – $ 100,000 per måned) og straffer (tap av rett til å behandle kredittkortbetalinger, økning i behandlingsgebyr per transaksjon, betaling for kredittkort som er kompromittert på grunn av bruddet, flytte opp et nivå av samsvar, etc.). Disse bøter og straffer kan vise seg å være katastrofale for en virksomhet, for ikke å nevne tap av omdømme som en bedrift kan lide som følge av et brudd.

Selv om standardene som er definert og opprettholdt av PCI SSC til slutt koker ned for å sikre kortholderdata, oppnår PCI-samsvar mange veisperringer for den gjennomsnittlige online selgeren.

Her er, i et nøtteskall, kravene til PCI-samsvar dekket i de fullstendige PCI DSS-standardene som online tjenesteleverandører må overholde:

  • Bygge og vedlikeholde et sikkert nettverk, som involverer brannmur- og rutekonfigurasjoner, testing relatert til disse, hyppighet av testing og sikker passordstyring;
  • Beskyttelse av kortholderdata ved å definere lagrings-, datalagrings- og datanvendelsesparametere og krypteringskrav, samt angi implementering av krypterings- og sikkerhetsprotokoller (SSL / TLS, SSH eller IPSec) for beskyttelse av kortholderdata når de sendes over åpen, offentlige nettverk;
  • Å utføre et sårbarhetsstyringsprogram, som innebærer bruk av et antivirusprogram som regelmessig blir oppdatert, aktivt til enhver tid, og som genererer revisjonslogger. En annen fasit av sårbarhetsstyringsprogrammet er utvikling og vedlikehold av sikre systemer og applikasjoner, som oppnås gjennom overholdelse av sikre retningslinjer for koding og gjennomgang av tredjepartskode eller tilpassede applikasjoner med hensyn til sårbarheter;
  • Implementere sikre brukertilgangskontrolltiltak ved å beskytte sensitive data fra uautorisert tilgang, begrense tilgangen ved å sette opp veldefinerte rollebaserte tilgangskontroller (RBAC), tildele unike bruker-IDer for sporbarhet, bruke to-faktor autentiseringsprosesser, begrense fysisk tilgang til kortholder data;
  • Bruke loggingsmekanismer for å spore og overvåke tilgang til nettverks- og kortholderdata, lage en revisjonsspor som må beholdes i minst et år;
  • Kjør regelmessige interne nettverkssikkerhetsskanninger (kvartalsvis og etter hver eneste vesentlige endring, oppgradering eller endring i nettverket eller infrastrukturen), og sender til kvartalsvise ASV (Approved Scanning Vendor) -skanninger etter bestått av den innledende samsvarsskanningen, implementering av systemer (inntrenging) deteksjonssystemer og filovervåkingssystemer) for å varsle om uautorisert modifisering av kritiske filer og systemkompromiss;
  • Opprette og opprettholde en informasjonssikkerhetspolicy som skal dekke aspekter relatert til personell screening, risikovurdering, sårbarhetsvurdering, fjerntilgang osv..

Virksomheter som mangler kompetanse og / eller interne ressurser for å utføre et effektivt compliance-program, bør søke hjelp fra en ekstern partner og kvalifisert sikkerhetsrådgiver, som vil tilby veiledning i forhold til PCI-DSS-selvvurderingsspørreskjemaet de må fylle ut, kravene de må møtes for sitt nivå av samsvar, infrastrukturmanglene de må løse, osv.

Noe av byrden ved å oppfylle disse kravene kan deles med løsningspartnere som hostingleverandører, som kan hjelpe med implementering og vedlikehold av fysiske, nettverks- og systemkontroller.

Hvordan finne det beste PCI-kompatible webhotellet

Å velge en god webhotell kan i seg selv være en komplisert oppgave. Å legge PCI-DSS-samsvar til listen over dine krav kan gjøre prosessen enda mer komplisert. Her er de viktigste tingene du må gjøre når du søker etter en PCI-kompatibel webhotell:

Diskuter PCI-samsvarskomponenter utført av verten din

Spør webhotellleverandøren om komponentene i PCI-samsvaret de kan håndtere for deg. For eksempel sier HostGator tydelig på deres hjemmeside at deres VSP og dedikerte servere er oppdatert for å oppfylle kravene til PCI-samsvar. Imidlertid vil HostGator ikke tilby støtte for å sikre at handlekurver, betalingsgateway-programvare, handlekurv-plugins, etc. som brukes av nettstedet ditt, er PCI-kompatible, derfor besværer denne oppgaven deg som bruker av disse løsningene..

Få mer informasjon om hver komponent

Siden manglende oppfyllelse av PCI-samsvarskrav medfører en rekke risikoer som potensielt kan true selve virksomhetens virksomhet, må du alltid lese versjonen av de ekstra tjenestene som verttselskapet har gjort for å bli PCI-kompatible, og be om mer informasjon om adoptert løsninger for å se om disse tjenestene samsvarer med PCI-DSS-kravene. Hostingfirmaer som Rackspace, går utover å bare tilby PCI-overholdelse av servere ved å tilby en rekke andre tjenester (f.eks. Administrert brannmur, SSL-sertifikater, administrerte antivirusløsninger, vurdering av sårbarhetsvurderinger, webapplikasjonsbrannmur, etc.).

Se om støtte

Å navigere i labyrinten for å overholde bransjestandardene som er lagt til av kredittkortselskaper er uten tvil en anstrengende prosess for noen, det være seg liten eller stor bedrift. Støtte som tilbys for å diskutere dine behov og hjelp til å utforske tjenestene du trenger, kan bidra til å redusere kompleksiteten i din innsats for å bli kompatibel.

Konklusjon

Det er viktig å huske at PCI-samsvar er et delt ansvar, og ved å velge en PCI-kompatibel hosting, en blir ikke automatisk PCI-kompatibel. Å få et klart syn på hvordan man får ansvaret for hver løsningspartner er et viktig skritt for å oppnå og opprettholde samsvar.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map